Trojan Chameleon Android oferece desvio biométrico

Uma nova variante de um Android Trojan bancário apareceu que pode ignorar a segurança biométrica para invadir dispositivos, demonstrando uma evolução no malware que os invasores agora usam contra uma gama mais ampla de vítimas.

O Trojan bancário Chameleon – assim chamado por sua capacidade de se adaptar ao seu ambiente por meio de vários novos comandos – apareceu pela primeira vez em uma versão “trabalho em andamento” em janeiro, especificamente para atingir usuários na Austrália e na Polônia. Espalhado por páginas de phishing, o comportamento do malware foi caracterizado pela capacidade de se passar por aplicativos confiáveis, disfarçando-se de instituições como o Australian Taxation Office (ATO) e instituições populares. aplicativos bancários na Polônia para roubar dados de dispositivos de usuários.

Agora, os pesquisadores do Threat Fabric descobriram uma versão nova e mais sofisticada do Chameleon que também tem como alvo Os usuários do Android no Reino Unido e na Itália, e se espalha através de uma Dark Web Serviço de compartilhamento de aplicativos Zombinder disfarçado como um aplicativo do Google Chrome, eles revelaram em uma postagem de blog publicada em 21 de dezembro.

A variante inclui vários novos recursos que a tornam ainda mais perigosa para os usuários do Android do que sua versão anterior, incluindo uma nova capacidade de interromper as operações biométricas do dispositivo alvo, disseram os pesquisadores.

Ao desbloquear o acesso biométrico (reconhecimento facial ou leitura de impressões digitais, por exemplo), os invasores podem acessar PINs, senhas ou chaves gráficas por meio de funcionalidades de keylogging, bem como desbloquear dispositivos usando PINs ou senhas roubados anteriormente. “Essa funcionalidade para contornar efetivamente as medidas de segurança biométrica é um desenvolvimento preocupante no cenário do malware móvel”, de acordo com a análise do Threat Fabric.

A variante também possui um recurso expandido que aproveita o serviço de acessibilidade do Android para ataques de controle de dispositivos, bem como uma capacidade encontrada em muitos outros trojans para permitir o agendamento de tarefas usando a API AlarmManager, descobriram os pesquisadores.

“Essas melhorias elevam a sofisticação e adaptabilidade da nova variante Chameleon, tornando-a uma ameaça mais potente no cenário em constante evolução dos trojans bancários móveis”, escreveram eles.

Camaleão: uma capacidade biométrica de mudança de forma

No geral, os três novos recursos distintos do Chameleon demonstram como os agentes de ameaças respondem e procuram continuamente contornar as mais recentes medidas de segurança concebidas para combater os seus esforços, de acordo com o Threat Fabric.

A nova capacidade principal do malware de desativar a segurança biométrica no dispositivo é habilitada com a emissão do comando “interrupt_biometric”, que executa o método “InterruptBiometric”. O método usa a API KeyguardManager e AccessibilityEvent do Android para avaliar a tela do dispositivo e o status da proteção do teclado, avaliando o estado deste último em termos de vários mecanismos de bloqueio, como padrão, PIN ou senha.

Ao atender às condições especificadas, o malware usa esta ação para fazer a transição do autenticação biométrica à autenticação PIN, ignorando o prompt biométrico e permitindo que o Trojan desbloqueie o dispositivo à vontade, descobriram os pesquisadores.

Isso, por sua vez, oferece aos invasores duas vantagens: facilitar o roubo de dados pessoais, como PINs, senhas ou chaves gráficas, e permitir que eles entrem em dispositivos biometricamente protegidos usando PINs ou senhas previamente roubadas, aproveitando a acessibilidade, de acordo com o Threat Fabric. .

“Portanto, embora os dados biométricos da vítima permaneçam fora do alcance dos atores, eles forçam o dispositivo a recorrer à autenticação PIN, ignorando totalmente a proteção biométrica”, de acordo com o post.

Outro novo recurso importante é um prompt HTML para ativar o serviço de acessibilidade, do qual o Chameleon depende para lançar um ataque para assumir o dispositivo. O recurso envolve uma verificação específica do dispositivo ativada após o recebimento do comando “android_13” do servidor de comando e controle (C2), exibindo uma página HTML que solicita aos usuários que habilitem o serviço de acessibilidade e, em seguida, orientando-os através de uma etapa manual. processo passo a passo.

Um terceiro recurso da nova variante introduz um recurso também encontrado em muitos outros Trojans bancários, mas que até agora o Chameleon não possuía: agendamento de tarefas usando a API AlarmManager.

No entanto, ao contrário de outras manifestações desse recurso em Trojans bancários, a implementação do Chameleon adota uma “abordagem dinâmica, lidando com eficiência com a acessibilidade e lançamentos de atividades de acordo com o comportamento padrão do Trojan”, de acordo com o Threat Fabric. Ele faz isso suportando um novo comando que pode determinar se a acessibilidade está habilitada ou não, alternando dinamicamente entre diferentes atividades maliciosas dependendo do estado desse recurso no dispositivo.

“A manipulação das configurações de acessibilidade e lançamentos de atividades dinâmicas ressaltam ainda mais que o novo Chameleon é uma variedade sofisticada de malware Android”, de acordo com o Threat Fabric.

Dispositivos Android em risco de malware

com ataques contra o aumento de dispositivos Android, é mais crucial do que nunca que os usuários móveis tenha cuidado ao baixar quaisquer aplicativos em seus dispositivos que pareçam suspeitos ou que não sejam distribuídos por lojas de aplicativos legítimas, aconselham especialistas em segurança.

“À medida que os agentes de ameaças continuam a evoluir, esta abordagem dinâmica e vigilante revela-se essencial na batalha contínua contra ameaças cibernéticas sofisticadas”, escreveram os investigadores.

O Threat Fabric conseguiu rastrear e analisar amostras do Chameleon relacionadas ao Zombinder atualizado, que usa um sofisticado processo de carga útil em dois estágios para eliminar o Trojan. “Eles empregam a SESSION_API por meio do PackageInstaller, implantando as amostras Chameleon junto com a família de malware Hook", de acordo com a postagem.

O Threat Fabric publicou indicadores de comprometimento (IoCs) em sua análise, na forma de hashes, nomes de aplicativos e nomes de pacotes associados ao Chameleon para que usuários e administradores possam monitorar possíveis infecções pelo Trojan.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint-security/chameleon-android-trojan-offers-biometric-bypass